中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

​关于Viessmann Vitogate远程代码执行漏洞(CVE-2023-45852)的安全告知

时间:2024-04-11 16:47:11来源:信息安全部作者:开yun体育官网入口

Viessmann Vitogate 是 Viessmann 公司的一个智能化控制系统。

漏洞详情
Vitogate 300 2.1.3.0版本的 /*/vitogate.cgi 存在远程代码执行漏洞(CVE-2023-45852),该漏洞允许未经身份验证的攻击者绕过身份验证,通过 POST 方法中的 ipaddr 参数JSON数据中的shell元字符实现绕过身份验证并执行任意命令。

影响范围
vitogate_300 的 2.1.3.0 及之前的版本

漏洞复现
image006.png
image008.png

修复建议
请关注厂商主页,更新修复补丁。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://connectivity.viessmann.com/gb/mp-fp/vitogate/vitogate-300-bn-mb.html 
https://github.com/Push3AX/vul/blob/main/viessmann/Vitogate300_RCE.md

XML 地图